@ Kaos & Voo.Doo
schaut mal den profis noch ein bisserl bei der schädlingsbekämpfung über die schultern bevor ihr hier aktiv mithelft
http://www.trojaner-board.de/69603-f...dem-forum.html

danke
GUA

Ähmmm was heißt das jetzt für mich ??? Wäre über Hilfe wirklich dankbar!!!

Grüße

Fabian

Zitat:

Zitat von DonHonk

Ähmmm was heißt das jetzt für mich ?Wäre über Hilfe wirklich dankbar!

Teste bitte, ob Du

• in die Wiederherstellungskonsole kommst.
• diesen Patch (KB958644) herunterladen kannst
• das SP3 für Windows XP herunterladen kannst
• Du MBAM inklusive des Offline-Updates herunterladen kannst

Marc

Ok alles runtergeladen! Auch schon alles installieren ?
Nur in die Wiederherstellungskonsole komm ich leider nicht. Irgendeine Fehlermeldung bezüglich Viren ober Festplattencontroler! Das is wohl nich so gut hm!?!

Fabian

Zitat:

Zitat von DonHonk

Das is wohl nich so gut hm!?!

Nein, ist nicht gut. Kann aber auch einfach am fehlenden SATA-Treiber liegen.

[1]Von GMER beanstandete Diensteinträge

Prüfen auf Berechtigungseischränkung in den Dienstschlüsseln (alleiniges Zugriffsrecht für User SYSTEM):

Start > Ausführen > cmd (mit Enter bestätigen)
Die untenstehende Zeile reinkopieren (mit rechter Mausklick > Einfügen) und mit ENTER bestätigen.

Code: Alles auswählenAufklappen

ATTFilter

reg query HKLM\System\CurrentControlSet\Services | findstr "denied"
         

Poste hier bitte, für welche Einträge ein Access is denied gemeldet wird.
Beispiel:

Code: Alles auswählenAufklappen

ATTFilter

Error:  Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr
Error:  Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WmiApRpl
         

[2]Installation von MBAM
Installiere bitte MBAM und im Anschluss das aktuellste Offline-Update das Du in die Finger bekommen kannst. Erstmal noch nicht scannen.

Marc

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys>

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ybdrbp

Zitat:

Zitat von DonHonk

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys>
Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ybdrbp

OK, versuchen wir es mal ohne Wiederherstellungskonsole.

Berechtigungen der Dienstschlüssel ändern

Wir ändern nun die Berechtigungen der Diensteinträge damit der Benutzer SYSTEM nicht mehr auf diese beiden Einträge zugreifen kann. Ist das erfolgreich, werden die Dienste nicht mehr gestartet und wir können mit MBAM über das System schauen.

1. Vergewissere Dich, dass der Account mit dem Du jetzt arbeitest, Administratorrechte hat.
2. Starte den Registrierungseditor (Start > Ausführen regedit)
3. Navigiere im Registriegunseditor zu folgendem Ziel: HKLM\System\CurrentControlSet\Services
4. Suche im linken Teil des Editors nach dem Schlüssel TDSSserv.sys
5. Rechter Mausklick auf den Schlüssel => Berechtigungen
6. Den Benutzer SYSTEM mit der Maus markieren und untendrunter alles bei Verweigern anklicken. Mit Klick auf Übernehmen die Änderungen bestätigen (etwaige Meckereien des Systems abnicken).
7. Das Prozedere für den Schlüssel ybdrbp wiederholen
8. Windows neustarten und kontrollieren ob die Berechtigungen noch so sind, wie Du sie eben eingestellt hast.

Sollte das nicht funktionieren, gehen wir direkt mit MBAM dran.

Marc

Ok, im regeditor gab es CurrentControlSet 001 und 003 und einfach CurrentControlSet ich habe es bei allen dreien so gemacht wie beschrieben. Es war nur gar kein Benutzer vorhanden also habe ich den Benutzer SYSTEM hinzugefügt und die Einstellungen dann für diesesn verändert. Soweit richtig? Habe neu gestartet und alles so geblieben!
Konnte insgesamt zwei Hacken bei Verweigern setzten, bei spezielle Berechtigungen ging es jedoch nicht.

Es irritiert mich doch gehörig, dass da kein Benutzer drinnenstand. Egal, schauen wir, ob die Arbeit vllt doppelt gemacht werden muss.

Scannen mit MBAM
Starte MBAM und lasse einen Scan über alle Partitionen laufen (Option: vollständiger Scan). Berichte welche Funde MBAM Dir am Ende des Scans anzeigt.

Marc

Hmm MBam hat gar nichts gefunden

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1793
Windows 5.1.2600 Service Pack 2

25.02.2009 16:40:09
mbam-log-2009-02-25 (16-40-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 253725
Laufzeit: 1 hour(s), 36 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Komisch oder?

Zitat:

Zitat von DonHonk

Komisch oder?

Vielleicht, vielleicht auch nicht. Ich habe keine Ahnung, was genau die andere Software abgeschossen hat.

Wir testen einfach, ob Conficker noch aktiv ist:


Schlüsselberechtigungen neusetzen

Du gibst für die beiden Schlüssel in der Registrierungsdatenbank Deinem Benutzer Vollzugriffsrechte und löscht beide Schlüssel (am besten auch in ControlSet02 und ControlSet03).
Es gibt nun drei mögliche Szenarien:

1. Schadsoftware vermutlich nicht mehr aktiv: die Einträge werden nicht neu geschrieben bzw. durch neue Einträge ersetzt
2. Schadsoftware teilaktiv: Eine Fehlermeldung begrüßt Dich und meldet, dass eine DLL nicht gefunden werden konnte.
3. Schadsoftware aktiv: Die Einträge sind wieder da bzw. durch neue ersetzt worden.

So setzt Du die Berechtigungen für die Schlüssel:

• Navigiere wie schon vorher an den entsprechenden Punkt in der Registrierungsdatenbank.
• Rufe für den ersten Schlüssel das berechtigungsmenü auf.
• Füge (wie Du es mit dem Benutzer SYSTEM bereits gemacht hast) Deinen eigenen Benutzernamen hinzu und gebe ihm alle Zugriffsrechte.
• Wiederhole die Prozedur für den anderen Schlüssel.

Schlüssel löschen

• Ganz einfach: Rechter Mausklick auf den Schlüssel und "Löschen" anwählen.
• Neustarten.
• Prüfe wieder mit reg query xyz (siehe vorhergehendes Posting) ob Zugriffsverletzungen vorkommen
• Prüfe ob die von Dir gelöschten Schlüssel auch wirklich weg sind und nicht neuerstellt wurden.

Falls eine fehlende DLL bemängelt wird, notiere Dir unbedingt den Namen.

Marc

Die Schlüssel lassen sich leider nicht löschen, es kommt folgende Fehlermeldung:

xy kann nicht gelöscht werden: Fehler beim löschen des Schlüsses

Zitat:

Zitat von DonHonk

xy kann nicht gelöscht werden: Fehler beim löschen des Schlüsses

Prüfe bitte, ob der Benutzer unter dem Du angemeldet bist Administratorrechte hat und ihm wirklich Vollzugriff auf die Schlüssel gewährt wird (siehe Abbildung).




Marc

PS: Sollten beide Schafsköppe noch aktiv sein, werde ich an dieser Stelle aufhören. Es ist sowieso schon gegen meine Überzeugung an rootkitverseuchten Kisten rumzudoktern, aber ohne Wiederherstellungskonsole geh ich nicht noch weiter.

Ja ich als admin angemeldet und ja ich habe vollzugriff etc ausgewählt. Hmm schade hatte echt noch Hoffnung. Un wenn man die Schlüssel mit einem Dateikill Programm löscht ??? Oder geht das gar nicht, war nur so ne Idee?

Zitat:

Zitat von DonHonk

Hmm schade hatte echt noch Hoffnung. Un wenn man die Schlüssel mit einem Dateikill Programm löscht ??? Oder geht das gar nicht, war nur so ne Idee?

Irgendwie und mit irgendeinem Tool geht das schon (oder per Wiederherstellungskonsole). Die Sache ist aber hochgradig unseriös. Mein gesamter Bereinigungsversuch war das schon, denn bei multiplen Rootkits sollte man einfach kurz fuck rufen und neuaufsetzen.
Such Dir die SATA-Treiber für Deine Platte, integriere sie in die Windows XP Installations-CD und setz neu auf. Selbst wenn Du die zwei Probanden soweit bekämpfst, dass Du sie nicht mehr nachweisen kannst, kannst Du Dir nicht sicher sein, dass sie auch wirklich weg sind oder wie ein c't-Redakteur mal sinngemäß schrieb:
Man darf nur nicht auf die Idee kommen, die Abwesenheit von Anomalien als Beweis für die Sauberkeit eines Systems heranzuziehen.

Marc